Le RGPD exige une nouvelle approche de la sécurité ICT
Assumer la responsabilité sur les données personnelles gérées par une entreprise : tel est le concept de base de la nouvelle législation sur la vie privée de l’Union européenne. Mais les entreprises seront-elles prêtes ?
Sans doute l’abréviation RGPD apparaîtra-t-elle plus souvent ces prochains mois. Et pour cause puisque ce Règlement Général sur la Protection des Données entrera en vigueur le 25 mai 2018. Jusqu’à présent, la législation sur la vie privée était régie par une directive européenne de 1995, transposée à l’époque dans notre législation nationale. “Rien que sur ce plan, le RGPD présente une différence majeure, explique Kris Vansteenwegen, head of security lifecycle services auprès du prestataire de services ICT NRB. Car le RGPD ne nécessite pas de transposition au niveau local, mais s’applique directement à tous.”
Sur le plan du contenu, le RGPD est surtout une question de responsabilité. Les entreprises sont en effet tenues pour responsable des données personnelles qu’elles gèrent. Elles ne peuvent exploiter ces données que si elles ont une raison fondée. Par ailleurs, elles sont tenues de protéger ces données afin qu’elles ne puissent être utilisées que pour ces raisons fondées. “Il s’agit de données personnelles, relève Kris Vansteenwegen. Du coup, cette matière est étroitement liée à la sécurité ICT, à savoir la sécurisation des aspects opérationnels d’une entreprise et la sécurité des informations. Nous nous situons à la croisée des chemins entre vie privée et sécurité.”
Gestion des risques
En raison des mesures opérationnelles qui y sont liées, le RGPD est étroitement lié à l’ICT. Pourtant, il s’agit plutôt d’un processus dans lequel la gouvernance joue un rôle crucial. “Le règlement impose en effet à l’entreprise de prendre des mesures en fonction des risques, explique Kris Vansteenwegen. L’Europe ne prévoit en l’occurrence aucune mesure concrète, mais oblige l’entreprise à évaluer correctement les risques et à se couvrir contre ceux-ci.” Du coup, de très nombreuses entreprises se posent des questions sur ce RGPD. “En fait, la direction générale de l’entreprise est tenue de connaître les risques. Dans ce cadre, elle doit donner à l’organisation les moyens nécessaires pour sécuriser ses données.”
En d’autres termes, la direction opérationnelle de l’entreprise doit forcément pouvoir évaluer les risques en question. Une collaboration étroite entre l’ICT et le service juridique s’impose donc. “Cette collaboration sera indispensable. Le département ICT – au niveau opérationnel – n’est actuellement pas toujours familiarisé avec les aspects juridiques de l’utilisation et de la sécurisation des données.” Par ailleurs, il sera nécessaire de conscientiser davantage les utilisateurs finaux. “Ce sont finalement des personnes qui manipulent les données. Celles-ci doivent être mieux informées des menaces potentielles et de la vulnérabilité des données. Cela signifie donc aussi que le département RH a un rôle à jouer à ce niveau – notamment via la formation des collaborateurs.”
Amendes Salées
S’il ne propose aucune liste d’actions à entreprendre par l’organisation, le RGPD impose certaines exigences concrètes. Ainsi, l’entreprise doit avoir une raison valable de collecter des données personnelles. Elle doit documenter les processus mis en oeuvre pour cette collecte et la manière dont les données sont sécurisées. Si une entreprise détecte une fuite de données associée à un dommage pour des personnes, elle doit en faire rapport dans les 72 heures. “C’est particulièrement rapide, estime Kris Vansteenwegen, d’autant que l’entreprise doit indiquer quand la fuite est intervenue, les données qui ont fuité, les mesures prises, etc.” Voilà qui n’est certainement pas évident, ne serait-ce que parce que les actions des pirates et des personnes malveillantes – voire d’un collaborateur imprudent – ne sont très souvent mises à jour que des semaines ou des mois après les faits.
“Le RGPD exige une politique de sécurité complètement nouvelle, insiste Kris Vansteenwegen. Il faut d’abord avoir une vue à 360° avant de pouvoir travailler de manière ciblée à l’identification, la classification et la sécurisation des données.” Et comme il se doit dans la sécurité, l’entreprise devra aussi trouver les bons équilibres. Davantage de flexibilité dans l’utilisation des données se traduit souvent pas plus de risques. Sans doute les amendes annoncées inciteront-elles les entreprises à envisager la situation avec un maximum de sérieux. En effet, ces amendes peuvent atteindre 2 % du chiffre d’affaires (maximum 10 millions €) pour non-conformité et jusqu’à 4 % (maximum 20 millions €) pour fuite de données.
Entre-temps, mai 2018 se rapproche à grands pas. “Pour de très nombreuses entreprises, il y a encore pas mal de pain sur la planche, conclut Kris Vansteenwegen. En tout cas, il est grand temps de procéder à une analyse de risque et d’entamer la mise en place d’une stratégie.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici